Adatfeldolgozási megállapodás

1. Fogalommeghatározások

• Adatkezelő — az étterempartner (Felhasználó), aki a FoxiFood platformon keresztül meghatározza végfelhasználó ügyfeleinek személyes adatai kezelésének céljait és eszközeit.
• Adatfeldolgozó — Az Elite Digital Services, LLC, amely az Adatkezelő megbízásából személyes adatokat kezel a FoxiFood platform szolgáltatásainak nyújtása érdekében. Az Adatfeldolgozó a FoxiFood platform kizárólagos üzemeltetője, és a jelen AFM 5. szakaszában meghatározottak szerint különböző joghatóságokban engedélyezett al-adatfeldolgozókat vehet igénybe meghatározott technikai feladatok elvégzésére.
• Érintett — az a természetes személy, akinek személyes adatait kezelik (jellemzően az ételrendelést leadó végfelhasználó ügyfél).
• Személyes adat — bármely azonosított vagy azonosítható természetes személyre vonatkozó információ, a GDPR 4. cikk (1) bekezdésében meghatározottak szerint.
• Adatkezelés — a személyes adatokon végzett bármely művelet, beleértve a gyűjtést, tárolást, felhasználást, továbbítást és törlést.
• Al-adatfeldolgozó — az Adatfeldolgozó által megbízott harmadik fél, amely az Adatkezelő nevében személyes adatokat kezel.

2. Az adatkezelés hatálya és célja

2.1. Tárgy

The Processor processes personal data on behalf of the Controller for the purpose of providing the FoxiFood restaurant ordering platform, including hosting the Controller's ordering website, processing customer orders, managing customer accounts, facilitating payment transactions, and operating the FOXI ID shared customer identity infrastructure that enables end customers to use a single account across multiple restaurant ordering websites on the platform.

2.2. Időtartam

A jelen AFM szerinti személyes adatkezelés az Adatkezelő és az Adatfeldolgozó közötti Szerződés időtartama alatt folytatódik. A Szerződés megszűnésekor az adatok kezelése a jelen AFM 8. szakaszával összhangban történik.

2.3. Jelleg és cél

Az adatkezelés jellege és célja egy szolgáltatásként nyújtott szoftverplatform (SaaS) biztosítása, amely lehetővé teszi az Adatkezelő számára, hogy online ételrendeléseket fogadjon ügyfeleitől, rendeléseket kezeljen és fizetéseket dolgozzon fel.

The Processor does not determine the purposes of processing of end customer order data. The Processor provides only the technical infrastructure used by the Controller to collect and process such data.

Kivétel — FOXI ID fiókadatok: A FOXI ID megosztott ügyfélidentitás-infrastruktúra üzemeltetése céljából az Elite Digital Services, LLC önálló adatkezelőként jár el a FOXI ID fiókadatok (bejelentkezési adatok, hitelesítési munkamenetek és az éttermek közötti előzetes kitöltéshez használt kapcsolattartási adatok) tekintetében. Ezek az adatok nem a jelen AFM, hanem a Szolgáltató saját Adatvédelmi tájékoztatója alapján kerülnek feldolgozásra. Az Adatkezelő jelen AFM szerinti adatkezelői jogai és kötelezettségei a rendelési adatokra, az ügyfélpreferenciákra és az Adatkezelő rendelési weboldalán generált rendeléstörténetre vonatkoznak.

2.4. Az érintettek kategóriái

• Az étterempartner végfelhasználó ügyfelei (ételrendelést leadó természetes személyek);
• Az étterempartner adminisztrációs vezérlőpulthoz hozzáféréssel rendelkező alkalmazottai vagy képviselői.

2.5. A személyes adatok típusai

• Kapcsolattartási adatok: név, e-mail cím, telefonszám;
• Szállítási cím (adott esetben);
• Rendelési adatok: megrendelt tételek, rendelési összegek, rendeléstörténet, étkezési preferenciák;
• Payment references: transaction IDs, payment status (card details are handled exclusively by the payment processor and not stored by the Processor);
• Technical data: IP address, device information, browser data (for fraud prevention and service operation);
• FOXI ID fiókadatok: bejelentkezési adatok (e-mail cím és hashelt jelszó), hitelesítési munkamenet-tokenek.

2.6. Adatelkülönítés és FOXI ID

A platform megosztott ügyfélidentitás-infrastruktúrát (FOXI ID) üzemeltet, amely lehetővé teszi a végfelhasználók számára, hogy egyetlen fiókot használjanak több éttermi rendelési weboldalon. Az alábbi adatelkülönítési elvek érvényesek:

• Minden Adatkezelő kizárólag a saját rendelési weboldalán generált rendelési adatokhoz, ügyfélpreferenciákhoz és rendeléstörténethez férhet hozzá;
• Egyetlen Adatkezelő sem férhet hozzá a platform más éttermeinél megrendelt végfelhasználók rendelési adataihoz, preferenciáihoz vagy rendeléstörténetéhez;
• Az Adatkezelők között FOXI ID-n keresztül kizárólag a végfelhasználó kapcsolattartási adatai (név, e-mail cím, telefonszám, szállítási cím) kerülnek megosztásra, kizárólag a rendelési űrlap előzetes kitöltése céljából, a rendelési folyamat megkönnyítése érdekében;
• Az Adatfeldolgozó egyetlen Adatkezelő számára sem bocsát rendelkezésre összesített, anonimizált vagy éttermek közötti adatot a FOXI ID-ból.

3. Az Adatfeldolgozó kötelezettségei

Az Adatfeldolgozó köteles:

• A személyes adatokat kizárólag az Adatkezelő dokumentált utasításai alapján kezelni, beleértve a harmadik országokba történő adattovábbítást is, kivéve, ha az alkalmazandó jogszabályok ezt megkövetelik;
• Biztosítani, hogy a személyes adatok kezelésére jogosult személyek titoktartási kötelezettséget vállaltak, vagy megfelelő jogszabályi titoktartási kötelezettség hatálya alatt állnak;
• A GDPR 32. cikke által megkívánt, a kockázat mértékének megfelelő szintű biztonságot garantáló technikai és szervezési intézkedéseket végrehajtani;
• Az Adatkezelő előzetes írásbeli engedélye nélkül nem megbízni más adatfeldolgozót (al-adatfeldolgozót), a jelen AFM 5. szakaszára figyelemmel;
• Segítséget nyújtani az Adatkezelőnek az Érintetti kérelmek (hozzáférés, helyesbítés, törlés, korlátozás, adathordozhatóság, tiltakozás) megválaszolásában a GDPR által megkövetelt határidőkön belül;
• Segítséget nyújtani az Adatkezelőnek az adatvédelmi hatásvizsgálatokkal és a felügyeleti hatóságokkal folytatott előzetes egyeztetéssel kapcsolatos kötelezettségek teljesítésében (GDPR 35. és 36. cikk);
• Az Adatkezelő választása szerint a szolgáltatásnyújtás befejezése után valamennyi személyes adatot törölni vagy visszajuttatni, és a meglévő másolatokat törölni, kivéve, ha uniós vagy tagállami jogszabály előírja a tárolást;
• Az Adatkezelő rendelkezésére bocsátani minden, a GDPR 28. cikkében foglalt kötelezettségeknek való megfelelés igazolásához szükséges információt, továbbá lehetővé tenni és elősegíteni az auditokat és ellenőrzéseket;
• Az Adatkezelő megbízásából végzett adatkezelési tevékenységekről nyilvántartást vezetni a GDPR 30. cikk (2) bekezdésével összhangban;
• A GDPR 25. cikkével összhangban beépített és alapértelmezett adatvédelmet megvalósítani, biztosítva, hogy kizárólag az egyes adatkezelési célokhoz szükséges személyes adatok kerüljenek kezelésre.

4. Biztonsági intézkedések

Az Adatfeldolgozó az alábbi technikai és szervezési intézkedéseket alkalmazza a személyes adatok védelmére:

• Az átvitel közbeni adatok titkosítása TLS 1.2+ / SSL alkalmazásával;
• A tárolt érzékeny adatok titkosítása;
• Szerepalapú jogosultságokkal ellátott hozzáférés-szabályozás és többtényezős hitelesítés az adminisztrációs hozzáféréshez;
• Rendszeres automatikus biztonsági mentések legalább 30 napos megőrzéssel;
• Biztonságos felhőalapú tárhelyi infrastruktúra fizikai hozzáférés-szabályozással (DigitalOcean);
• Rendszeres biztonsági frissítések, javítások és sebezhetőségi felmérések;Rendszeres biztonsági frissítések, javítócsomagok telepítése és sebezhetőségi vizsgálatok;
• Payment processing delegated to a PCI DSS Level 1 certified payment processor — no card data stored by the Processor;
• Jelszavak hashelése iparági szabvány kriptográfiai algoritmusokkal;Jelszóhashelés iparági szabványnak megfelelő kriptográfiai algoritmusokkal;
• A személyes adatokhoz való hozzáférés naplózása és felügyelete;
• Incidenskezelési és adatvédelmi incidens-bejelentési eljárások.

5. Al-adatfeldolgozók

5.1. Engedélyezett al-adatfeldolgozók

Az Adatkezelő ezennel általános felhatalmazást ad az Adatfeldolgozónak az alábbi al-adatfeldolgozók igénybevételére:

• Fizetési szolgáltató (jelenleg Stripe, Inc.) — fizetésfeldolgozás, csalásmegelőzés (USA, PCI DSS Level 1, általános szerződési feltételek [SCC-k] alkalmazásával);
• DigitalOcean, LLC — felhőalapú tárhely és infrastruktúra (EU és USA adatközpontok, általános szerződési feltételek [SCC-k] alkalmazásával);
• Brevo (Sendinblue) — tranzakciós e-mail kézbesítés (Franciaország/EU).

5.2. Az al-adatfeldolgozók változásai

Az Adatfeldolgozó legalább 30 nappal előre értesíti az Adatkezelőt az al-adatfeldolgozók hozzáadásával vagy cseréjével kapcsolatos tervezett változásokról, lehetőséget biztosítva az Adatkezelőnek a kifogás emelésre. Amennyiben az Adatkezelő észszerű kifogást emel, a felek jóhiszeműen egyeztetnek az aggályokról. Ha nem születik megállapodás, az Adatkezelő felmondhatja a Szerződést.

5.3. Az al-adatfeldolgozók kötelezettségei

Az Adatfeldolgozó biztosítja, hogy minden al-adatfeldolgozót a jelen AFM-ben meghatározottakhoz hasonlóan szigorú adatvédelmi kötelezettségek kössenek. Az Adatfeldolgozó az Adatkezelő felé teljes mértékben felel az egyes al-adatfeldolgozók kötelezettségeinek teljesítéséért.

6. Az érintettek jogai

Az Adatfeldolgozó köteles:

• Haladéktalanul értesíteni az Adatkezelőt, amennyiben közvetlenül az Érintettől kap kérelmet személyes adataival kapcsolatban;
• Az ilyen kérelmekre közvetlenül nem válaszolni, kivéve, ha az Adatkezelő erre felhatalmazást ad, vagy azt jogszabály írja elő;
• Észszerű segítséget nyújtani az Adatkezelőnek az Érintetti kérelmek teljesítésében, beleértve az adathozzáférés, helyesbítés, törlés, korlátozás és hordozhatóság technikai intézkedéseit;
• A Szolgáltatáson belül olyan eszközöket biztosítani, amelyek lehetővé teszik az Adatkezelő számára az ügyféladatok önálló kezelését, exportálását és törlését.

7. Adatvédelmi hatásvizsgálatok

Amennyiben az adatkezelés valamely típusa valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve (GDPR 35. cikk), az Adatkezelő felelős az adatvédelmi hatásvizsgálat (DPIA) elvégzéséért. Az Adatfeldolgozó köteles:

• az Adatkezelő rendelkezésére bocsátani a DPIA elvégzéséhez észszerűen szükséges valamennyi információt;
• észszerű kérésre, az Adatkezelő költségén segítséget nyújtani a DPIA elkészítésében;
• segítséget nyújtani az Adatkezelőnek a felügyeleti hatósággal folytatott előzetes egyeztetésben, amennyiben azt a GDPR 36. cikke megköveteli.

Az Adatkezelő köteles előzetesen értesíteni az Adatfeldolgozót, amennyiben a DPIA azt jelzi, hogy az adatkezelés az Adatfeldolgozó által hozott intézkedések hiányában magas kockázattal járna.

8. Adatvédelmi incidens bejelentése

Személyes adatokat érintő adatvédelmi incidens esetén az Adatfeldolgozó köteles:

• Az Adatkezelőt indokolatlan késedelem nélkül, de legkésőbb az adatvédelmi incidens tudomására jutásától számított 24 órán belül értesíteni, hogy az Adatkezelő teljesíteni tudja a felügyeleti hatóság felé fennálló, a GDPR 33. cikke szerinti 72 órás bejelentési kötelezettségét;
• Elegendő információt biztosítani az Adatkezelő számára ahhoz, hogy teljesíteni tudja a felügyeleti hatóság és az érintett Érintettek értesítésére vonatkozó kötelezettségét a GDPR 33. és 34. cikke alapján;
• Együttműködni az Adatkezelővel és észszerű lépéseket tenni az incidens hatásainak enyhítésére;
• Dokumentálni az incidenst, beleértve annak hatásait és a megtett korrekciós intézkedéseket.

Az incidensbejelentésnek a rendelkezésre álló mértékben tartalmaznia kell: az incidens jellegét, az érintett Érintettek kategóriáit és hozzávetőleges számát, a valószínű következményeket, valamint az incidens kezelésére tett vagy javasolt intézkedéseket.

9. Adatmegőrzés és -törlés

9.1. Az Adatkezelő adatmegőrzési felelőssége

The Controller, as the data controller for order data of its end customers, is solely responsible for determining appropriate data retention periods and for compliance with all applicable legal, tax, and accounting data retention obligations in the Controller's jurisdiction. FOXI ID account data retention is managed by the Processor in its capacity as independent data controller, as described in the Provider's Privacy Policy.

A Szolgáltatás konfigurálható adatmegőrzési beállításokat biztosíthat, amelyek lehetővé teszik az Adatkezelő számára a végfelhasználói adatok automatikus törlési időszakainak meghatározását. Az Adatfeldolgozó a végfelhasználói személyes adatokat kizárólag az Adatkezelő dokumentált utasításai szerint dolgozza fel és törli, beleértve az Adatkezelő által a platformon belül konfigurált megőrzési beállításokat is. Az Adatfeldolgozó nem vállal felelősséget az Adatkezelő által választott megőrzési időszakokért, sem az adatok Adatkezelő utasításai szerinti megőrzéséből vagy törléséből eredő jogi következményekért.

9.2. Megszűnés

• A Szerződés megszűnésekor az Adatfeldolgozó 30 naptári napot biztosít az Adatkezelő számára az összes személyes adat exportálására a Szolgáltatás exportfunkcióin keresztül;
• A 30 napos időszak elteltével az Adatfeldolgozó törli az Adatkezelő nevében kezelt összes személyes adatot, kivéve, ha az alkalmazandó jogszabályok előírják a megőrzést;
• A törlés olyan biztonságos módszerekkel történik, amelyek az adatokat visszaállíthatatlanná teszik;
• Az Adatfeldolgozó az Adatkezelő kérésére írásbeli igazolást ad az adatok törléséről;
• A biztonsági másolatok a rendszeres biztonsági mentési rotációs ütemterv szerint kerülnek törlésre (a törlési kérelemtől számított 30 napon belül).

10. Nemzetközi adattovábbítás

Amennyiben személyes adatok az Európai Gazdasági Térségen (EGT) kívülre kerülnek továbbításra, az Adatfeldolgozó biztosítja a GDPR V. fejezetében megkövetelt megfelelő garanciákat, beleértve:

• Az Európai Bizottság által a 2021. június 4-i (EU) 2021/914 végrehajtási határozat alapján elfogadott általános szerződési feltételek (SCC-k). Az al-adatfeldolgozóknak történő adattovábbítás esetén a Második modul (adatkezelő-adatfeldolgozó) vagy a Harmadik modul (adatfeldolgozó-adatfeldolgozó) SCC-k kerülnek alkalmazásra, az eset körülményeinek megfelelően;
• Adattovábbítási hatásvizsgálatok minden al-adatfeldolgozó esetében a célország jogi keretrendszerének értékelésére;
• Kiegészítő intézkedések a személyes adatok megfelelő védelmének biztosítására, amennyiben az adattovábbítási hatásvizsgálat kockázatokat azonosít.

Az Adatfeldolgozó tájékoztatja az Adatkezelőt a célország bármely olyan jogi előírásáról, amely hatással lehet a személyes adatok védelmére és a jelen AFM-nek való megfelelés képességére. Az aláírt SCC-k másolatai kérésre rendelkezésre állnak.

11. Auditok és ellenőrzések

Az Adatfeldolgozó az Adatkezelő rendelkezésére bocsátja a GDPR 28. cikkének való megfelelés igazolásához észszerűen szükséges valamennyi információt. Az Adatkezelő auditokat, beleértve helyszíni ellenőrzéseket is, végezhet közvetlenül vagy független harmadik fél auditor útján, az alábbi feltételek mellett:

• Legalább 30 naptári napos észszerű előzetes értesítés;
• Az auditok a rendes munkaidőben, a zavarkeltés minimalizálásával kerülnek lefolytatásra;
• Az auditort titoktartási kötelezettségek kötik;
• 12 hónapos időszakonként legfeljebb egy audit, kivéve, ha azt felügyeleti hatóság írja elő.

12. Felelősség

A felek jelen AFM szerinti felelőssége az Általános Szerződési Feltételekben meghatározott felelősségkorlátozások és -kizárások hatálya alá esik. A jelen AFM egyetlen rendelkezése sem korlátozza egyik fél GDPR-jogsértésért való felelősségét sem olyan mértékben, amelyet az alkalmazandó jogszabályok nem engedélyeznek.

13. EU-képviselő

A GDPR 27. cikkével összhangban az Adatfeldolgozó az alábbi szervezetet jelölte ki képviselőjéül az Európai Unióban:

Euro business company Kft.
Rómer Flóris utca 8/B. 3. em., Budapest 1024, Hungary
Adószám: HU28959364

Az EU-képviselővel és annak szerepével kapcsolatos teljes körű információkért tekintse meg a FoxiFood weboldal Jogi szekciójának GDPR oldalát.

14. Kapcsolat

Az Adatfeldolgozási megállapodással vagy adatfeldolgozási ügyekkel kapcsolatos kérdésekért keressen minket:: support@foxi.food

Elite Digital Services, LLC
1111B S Governors Ave #21653
Dover, DE 19904, USA